Historie ransomware hrozeb: minulost, současnost a budoucnost

Podíváme se na historii ransomwaru a na to, jak se v průběhu let vyvíjel. Sdílet

Masivní malwarový útok WannaCry v květnu 2017 dominoval novinovým článkům po celém světě a přinesl novou frázi do běžného veřejného použití – Ransomware.

V kruzích kybernetické bezpečnosti se však již dlouhou dobu mluví o ransomwaru. Ve skutečnosti, v posledních deseti letech, je ransomware pravděpodobně nejrozšířenější a všudypřítomnou kybernetickou hrozbou. Podle amerických vládních údajů od roku 2005 ransomware útoky překonaly narušení online dat.

Nejspíše skutečnost, že ransomware útoky se tradičně nevyskytovaly v globálním rozsahu, je pomohla udržet pod radarem obecného povědomí veřejnosti. WannaCry to však změnil. WannaCry zasáhl více než 300 000 počítačů po celém světě a napadl některé významné instituce včetně britské národní zdravotnické služby (NHS).

WannaCry byl natolik rozsáhlou kybernetickou zástavou, která zalarmovala celý svět a může znamenat, že věcí dostanou nový tvar. Jelikož se červy používané k šíření ransomwaru stávají stále sofistikovanějšími a metody, které se používají k jejich distribuci jsou efektivnější, existuje větší pravděpodobnost dalších útoků.

V tomto článku se podíváme na historii ransomwaru a jeho vývoje do doby, kdy se stal jednou z největších hrozeb kybernetické bezpečnosti 21. století. Zaměříme se na hlavní incidenty, různé použité metody, hlavní inovace vedoucí k nedávnému globálnímu útoku, než se podíváme na to, co můžeme v budoucnu očekávat.

Co je ransomware?

Za prvé, pojďme se podívat na některé definice. Ransomware spadá do třídy škodlivého softwaru navrženého speciálně pro finanční zisk. Ale na rozdíl od virů používaných při hackerských útocích, ransomware není navržen tak, aby získal přístup k počítači nebo IT systému pro odcizení dat. Stejně tak se nesnaží vylákat z obětí peníze, jak tomu je u různých falešných antivirových „scareware“ a phishingových podvodů.

Bohužel pro oběti jsou účinky ransomwaru velmi reálné.

Ransomware funguje tím, že narušuje provoz počítačového systému, což je činí nepoužitelným. Pachatelé poté zašlou majiteli žádost o výkupné a požadují peníze výměnou za obnovení přístupu.

Většina příkladů ransomware spadá do jedné ze dvou kategorií. Některé viry ransomwaru uzamknou uživatele mimo zařízení, zmrazením CPU, převzetím kontroly na systémem ověření uživatele nebo podobnou metodou. Jiné typy ransomwaru, obvykle označované jako crypto-ransomware, zašifrují úložné jednotky a jejich obsah, což znemožňuje otevření složek a souborů nebo spuštění programů.

Ve většině případů, jakmile je proveden ransomwaru útok na systém, dojde také k odeslání zprávy o výkupném. Ta se může objevit na obrazovce uzamčeného systému nebo v případě šifrovacího útoku může být dokonce zaslána e-mailem nebo pomocí IM.

Prehistorie ransomware

AIDS Trojan

První všeobecně uznávaný incident ransomwaru předchází vzniku online hrozby, kterou dnes téměř dvě desetiletí uznáváme. V roce 1989 se harvardský akademik Joseph L Popp zúčastnil konference Světové zdravotnické organizace o AIDS. Při přípravě na konferenci vytvořil 20 000 disků nazvaných „Informace o AIDS – Úvodní diskety“, které poslal delegátům.

Netušící delegáti si neuvědomovali, že diskety obsahovaly počítačový virus, který po dalším spuštění disku zůstal po nějakou dobu skrytý na počítači oběti. Po 90 restartech byl virus uveden do života, rychle šifroval soubory a skrýval adresáře. Došlo k zobrazení zprávy informující uživatele, že jejich systém bude vrácen do normálu po odeslání 189 dolarů do PO Boxu v Panamě.

Vynalézavost doktora Poppa předstihla svůj čas a trvalo dalších 16 let, než se jeho nápad s ransomware   rozšířil v době internetu. Popp byl zatčen, avšak kvůli špatnému duševnímu zdraví nikdy nestanul před soudem.

2005: Rok nula

V době, kdy se objevily další příklady ransomware, byl Dr. Joseph Popp dávno zapomenut a internet transformoval svět výpočetní techniky. Při všech svých zásluhách internet usnadnil šíření všech typů malware pro kybernetické zločiny a předcházející léta umožnily programátorům vyvinout mnohem silnější šifrovací metody než ty, které používal Dr. Popp.

GPCoder

Jedním z prvních příkladů šíření ransomwaru online byl GPCoder Trojan. Nejprve identifikován v roce 2005, GPCoder infikoval systémy Windows a cílil na soubory s různými rozšířeními. Po nalezení byly soubory zkopírovány v šifrované podobě a originály byly odstraněny ze systému. Nové šifrované soubory byly nečitelné a použití silného RSA-1024 šifrování zajistilo, že pokusy o jejich odemknutí byly velmi nepravděpodobné. Na domovské obrazovce uživatelů byla zobrazena zpráva, která je nasměrovala do souboru .txt umístěného na ploše, který obsahoval podrobnosti o tom, jak zaplatit výkupné a odemknout postižené soubory.

Archievus

Ve stejném roce, kdy byl zjištěn GPCoder, se na scéně objevil také další trojský kůň s bezpečným 1024-bitovým RSA šifrováním. Spíše než cílení na některé spustitelné soubory a přípony souborů, Archievus jednoduše zašifroval všechno ve složce Moje dokumenty. Teoreticky to znamenalo, že oběť mohla i nadále používat počítač a všechny soubory uložené v jiných složkách. Ale jelikož většina lidí ukládá většinu svých nejdůležitějších souborů, včetně pracovních dokumentů, do složky Moje dokumenty ve výchozím nastavení byl účinek stejně znepokojující.

Pro odstranění Archievus byly oběti nasměrovány na webovou stránku, kde si musely zakoupit 30místné heslo – bez velkých šancí jej uhodnout.

2009 – 2012: Inkasování

Trvalo chvíli, než tyto rané formy online ransomwaru získaly trakci v podsvětí počítačové kriminality. Návrat trojských koní jako GPCoder a Archievus byl poměrně nízký, hlavně proto, že byly snadno detekovány a odstraněny antivirovým softwarem, což znamená, že jejich trvanlivost při vydělávání peněz byla krátká.

Kybernetické gangy dávaly přednost hackování, phishingu a podváděli lidi s falešnými antivirovými podvody.

První známky změn se začaly objevovat v roce 2009. V tomto roce známý virus „scareware“ nazvaný Vundo změnil taktikou a začal fungovat jako ransomware. Předtím Vundo infikoval počítačové systémy a pak spustil vlastní bezpečnostní varování a vedl uživatele k falešné opravě. V roce 2009 však analytici zaznamenali, že Vundo začal šifrovat soubory na počítačích obětí a prodával skutečné protilátky pro jejich odemčení.

To bylo prvním důkazem, že si hackeři začali uvědomovat, že mohou vydělávat na ransomwaru. Díky rozšíření anonymních online platebních platforem bylo také snazší přijímat výkupné v masovém měřítku. Kromě toho samozřejmě rostla také sofistikovanost samotného ransomwaru.

Do roku 2011 se tento způsob velmi rozrostl. V prvním čtvrtletí toho roku bylo zjištěno 60 000 nových ransomwarových útoků. Do prvního čtvrtletí roku 2012 toto číslo stouplo na 200 000.  Do konce roku 2012 vědci společnosti Symantec odhadovali, že ransomwarový černý trh činil 5 milionů dolarů.

Trojan WinLock

V roce 2011 se objevila nová forma ransomwaru. WinLock Trojan je považován za první rozšířený příklad toho, co se stalo známým jako „Locker“ ransomware. Spíše než šifrování souborů na zařízení oběti, Locker jednoduše znemožňuje přihlášení k zařízení.

WinLock Trojan odstartoval ransomware trend, který napodoboval originální produkty, odrážející starou taktiku scareware. Infikováním systému Windows zkopíroval Windows Product Activation systém a uzamknul uživatele, dokud si nezakoupili aktivační klíč. Zpráva zobrazená na falešné obrazovce Aktivace informovala oběti, že jejich účet Windows musí být znovu aktivován kvůli podvodu a nabádal je zavolat na mezinárodní číslo k vyřešení problému. Telefonní číslo se jevilo jako bezplatná linka, ale ve skutečnosti volající skončili s velkým účtem, který se pravděpodobně šel do kapes zločinců, jež stáli za malware.

Reveton a ‘Police’ Ransomware

Obměna tématu napodobování softwarových produktů, které nabádaly oběti k zaplacení falešných předplatných, dal vznik tzv. Police ransomwaru. V těchto útocích malware cílil na infikované systémy zprávami, které tvrdily, že pocházejí od orgánů činných v trestním řízení a ze státních orgánů, a které uváděly, že byl nalezen důkaz, že zařízení bylo použito k nezákonné činnosti. Přístroj byl tak uzamčen jako „konfiskace“, dokud nebude zaplacen nějaký druh úplatku nebo pokuty.

Tyto příklady byly často distribuovány prostřednictvím pornografických stránek, služeb sdílení souborů a jakékoli jiné webové platformy, která by mohla být použita k potenciálně nezákonným účelům. Účelem bylo oběti vyděsit, tak aby zaplatily úplatek dříve, než měli možnost racionálně přemýšlet o tom, zda je hrozba stíhání skutečná nebo ne.

Aby se útoky zdály více autentické a hrozivé, police ransomware byly často přizpůsobovány podle umístění oběti, zobrazovaly jejich IP adresu nebo v některých případech živý přenos z jejich webové kamery, což by znamenalo, že jsou sledovány a zaznamenávány.

Jeden z nejslavnějších příkladů police ransomware je známý jako Reveton. Reveton, který se zpočátku rozšiřoval v Evropě, se začal objevovat ve Spojených státech, kde byly oběti informovány o tom, že jsou pod dohledem FBI a nařizoval zaplatit „pokutu“ ve výši 200 dolarů za odemčení jejich zařízení. Platba byla provedena prostřednictvím předplacených elektronických služeb, jako jsou MoneyPak a Ukash. Tato taktika byla přejata dalšími police ransomware jako Urausy a Kovter.

2013 – 2015: Zpět k šifrování

Ve druhé polovině roku 2013 se objevila nová varianta krypto-ransomwaru, která zasadila další ránu kybernetické bezpečnosti. CryptoLocker změnil ransomware hru mnoha způsoby. Neobtěžoval se totiž s šikanováním a kontextuální taktikou sparware nebo police ransomwaru. Programátoři společnosti CryptoLocker měli velmi přímý přístup a zaslali oběti zprávy, že všechny jejich soubory byly zašifrovány a budou vymazány, pokud nezaplatí do tří dnů.

Zadruhé, CryptoLocker prokázal, že síly šifrovacích počítačových zločinců jsou výrazně silnější než ty, které byly k dispozici, když se první kryptografie objevila téměř o deset let dříve. Díky použití C2 serverů ve skryté síti Tor, programátoři CryptoLocker dokázali generovat 2048bitové RSA šifrování veřejného a soukromého klíče k infikování souborů se specifikovanými rozšířeními. Toto fungovalo jako dvojitá vazba – všichni hledající veřejný klíč pro dešifrování souborů se potýkal s tím, že byly skryty v síti Tor, zatímco soukromý klíč, který drželi programátoři, byl sám o sobě extrémně silný.

Za třetí, CryptoLocker zavedl nový způsob distribuce. Infekce se zpočátku rozšířila prostřednictvím sítě botnet Gameover Zeus, sítě infikovaných „zombie“ počítačů, které se používají speciálně k šíření malwaru přes internet. CryptoLocker, proto, označil první příklad šíření ransomwaru prostřednictvím infikovaných webových stránek. Avšak CryptoLocker se šířil také prostřednictvím spear phishingu, konkrétně e-mailových příloh odesílaných firmám, které byly vytvořeny tak, aby vypadaly jako stížnosti zákazníků.

Všechny tyto vlastnosti se staly dominantními charakteristikami útoků ransomware, protože byly ovlivněny tím, jak úspěšný byl CryptoLocker. Vyžadující 300 dolarů za dešifrování infikovaných systémů, se předpokládá, že jejich vývojáři touto cestou vydělali až 3 miliony dolarů.

Onion a Bitcoin

CryptoLocker byl do značné míry vyřazen z činnosti v roce 2014, kdy došlo k uzamčení botnetu Gameover Zeus, avšak spousta imitátorů byla připravena převzít tuto štafetu. Nejvýznamnějším byl CryptoWall, pracující se stejným RSA šifrováním veřejného soukromého klíče generovaným za obrazovkou sítě Tor a distribuováno prostřednictvím phishingových podvodů.

The Onion Router, běžněji známý jako Tor, začal hrát větší a větší roli ve vývoji a distribuci ransomwaru. Pojmenován podle způsobu směrování internetového provozu přes komplexní globální sítě serverů, které jsou řešeny jako vrstvy cibule, Tor je anonymní projekt, který pomáhá lidem udržovat on-line soukromí. To naneštěstí přilákalo kybernetické zločince, kteří chtějí skrýt jejich aktivity před očima donucovacích orgánů, a tudíž Tor hraje velkou v historii ransomware.

CryptoWall také potvrdil rostoucí roli Bitcoin

v oblasti ransomware útoků. Od roku 2014 je   krypto-měna preferovanou platební metodou. Předplacené elektronické kredity byly anonymní, ale vyžadovaly využít určité praktiky praní špinavých peněz, zatímco Bitcoin mohou být používány online jako normální měna k obchodování.

Odhaduje se, že do roku 2015 CryptoWall vygenerovala 325 milionů dolarů.

Android útoky

Dalším důležitým krokem v ransomwaru příběhu byl vývoj verzí zaměřených na mobilní zařízení. Ty byly nejprve zaměřeny výhradně na zařízení Android, které využívají open source kód Android.

První příklady se objevily v roce 2014 a zkopírovaly formu útoků typu police. Sypeng infikoval zařízení prostřednictvím padělané zprávy o aktualizaci Adobe Flash, uzamkl obrazovku a zobrazil falešnou zprávu FBI požadující 200 dolarů. Koler byl podobný virus, který je pozoruhodný v tom, že je jedním z prvních příkladů ransomware červa, samoobslužného malwaru, který vytváří vlastní distribuční cesty. Koler automaticky pošle zprávu všem v seznamu kontaktů infikovaného zařízení s odkazem na stažení na červa.

SimplLocker byl časný typ crypto-ransomware pro mobilní telefony využívající formu blokování. Další inovace, která přišla s Android ransomware, bylo vytvoření nástrojů pro DIY, které si kybernetičtí zločinci mohli zakoupit on-line a sami nakonfigurovat. Jedním z prvních příkladů byla sada založená na Pletor Trojan, která byla prodána online za 5000 dolarů.

2016: Hrozba se vyvíjí

Rok 2016 byl klíčovým rokem pro ransomware. Nové způsoby dodání, nové platformy a nové typy škodlivého softwaru se přidaly k závažně se vyvíjející hrozbě, která vytvořila předpoklad pro masivní globální útoky.

CryptoWall Evolution

Na rozdíl od mnoha příkladů ransomware, které mají svůj den na slunci a jsou neutralizovány jednou opravou, hrozba CryptoWall nikdy nezmizela. Rozvíjející se prostřednictvím čtyř odlišných verzí, CryptoWall propagoval techniky napodobované jinými ransomware, jako je například použití replikovaných klíčů registru, takže se malware při každém restartu načte. To je chytré, protože malware není vždy spuštěn okamžitě a čeká, dokud se může připojit ke vzdálenému serveru obsahujícímu šifrovací klíč. Automatické načtení při restartování maximalizuje pravděpodobnost, že k tomu dojde.

Locky

S agresivní distribucí založenou na phishingu Locky vytvořil precedens pro velkou rychlost a rozsah distribuce, který následoval WannaCry. V době jeho největší slávy bylo nakaženo až 100 000 nových systémů denně, přičemž byl využitý franšízový systém, který byl nejprve používán soupravou nástrojů pro Android, aby pobídl více a více zločinců, aby se zapojili do distribuce. To také předznamenalo útok WannaCry tím, že se zaměřoval na poskytovatele zdravotní péče, jelikož jeho původci čerpali z faktu, že základní veřejné služby rychle zaplatily výkupné, aby znovu mohli spustit své systémy.

Multiplatform

2016 byl také rokem uvedení prvního ransomware skriptu, který ovlivnit systémy Mac. KeRanger byl obzvláště zákeřný, protože se mu podařilo šifrovat zálohování Time Machine stejně jako obyčejných souborů Mac, čímž překonal obvyklou schopnost počítačů Mac vrátit se k dřívějším verzím vždy, když nastane problém.

Krátce po KeRanger se objevil první ransomware schopný infikovat více operačních systémů. Programován v jazyce JavaScript, Ransom32 byl v teorii schopen ovlivnit zařízení běžící na systémech Windows, Mac nebo Linux.

Známá ohrožení zabezpečení

Takzvané „exploitové sestavy“ jsou protokoly šíření malwaru, které se zaměřují na známé zranitelnosti v populárních softwarových systémech pro implantaci virů. Angler kit je známým příkladem, který je používán pro ransomware útoky od roku 2015. V roce 2016 došlo k řadě vysoce profilovaných ransomwarových virů zaměřených na zranitelná místa v aplikacích Adobe Flash a Microsoft Silverlight – z nichž jeden byl CryptoWall 4.0.

Cryptoworm

V návaznosti na inovace viru Koler se cryptoworms staly hlavním proudem ransomware. Jedním příkladem byl červ ZCryptor, který byl nahlášen jako první Microsoftem. Původně se šířil spamovými phishingovými útoky, ZCryptor byl schopen se automaticky šířit prostřednictvím síťových zařízení pomocí samo replikace a samo spuštění.

2017: Zlatý rok ransomware

Vzhledem k rychlému pokroku v sofistikovanosti a rozsahu útoků ransomware v roce 2016, mnozí analytici počítačové bezpečnosti věřili, že je to jen otázka času, než dojde ke skutečně globálnímu incidentu s největšími hackerskými útoky a únikem dat. WannaCry potvrdila tyto obavy a dominovala předním stránkám tisku po celém světě. Avšak WannaCry není zdaleka jediným ransomware ohrožujícím uživatele počítačů v letošním roce.

WannaCry

  1. května 2017 ransomware červ WannaCry, který se stal známým po celém světě, udeřil na své první oběti ve Španělsku. Během několika hodin se rozšířil do stovek počítačů v desítkách zemí. O několik dní později se celkový počet vyšplhal na více než čtvrt milionu, čímž se WannaCry stal největším ransomware útokem v historii a zajistil, že mu celý svět věnuje pozornost.

WannaCry je zkratka pro WannaCrypt a odkazuje na skutečnost, že WannaCry je crypto-ware. Přesněji řečeno, je to cryptoworm, schopný se replikovat a šířit automaticky.

Co způsobilo, že WannaCry byl tak efektivní, a tak šokující pro širokou veřejnost, byl způsob, jak se rozšířil. Nevyužívá žádné podvody typu phishing, žádné stahování z napadených stránek botnetů. Namísto toho WannaCry uvedla novou fázi ransomwaru zaměřeného na známé zranitelnosti v počítačích. Byl naprogramován tak, aby prohledal síť a nalezl počítače pracující se staršími verzemi Windows Server – které měly známou bezpečnostní chybu – a napadl je. Jakmile infikoval jeden počítač v síti, rychle vyhledal ostatní s touto chybou a infikoval je také.

Díky tomu se WanCry šíří tak rychle a je obzvláště silný v útoku na systémy velkých organizací, včetně bank, dopravních úřadů, univerzit a veřejných zdravotních služeb, jako je britská NHS. To bylo také důvodem, proč zaznamenala takový ohlas.

Co však šokovalo mnoho lidí, byla skutečnost, že zranitelnost WannaCry využívaná ve Windows byla skutečně identifikována před několika lety americkou národní bezpečnostní agenturou (NSA). NSA však namísto, aby varovala svět o této hrozbě, mlčela a vyvinula vlastní zneužívání, aby využila tuto slabinu jako kybernetická zbraň. WannaCry tak byla ve skutečnosti postavena na systému vyvinutém státní bezpečnostní agenturou.

Petya

Tento další transkontinentální ransomware útok napadl tisíce počítačů ve všech čtyřech koutech světa. Nejvíce pozoruhodným faktem útoku známého jako Petya bylo to, že použil přesně stejnou zranitelnost systému Windows jako WannaCry a ukázal, jak silná by mohla být nová kybernetická zbraň NSA. Ukázalo se také, že i přes náplast, která byla široce dostupná po útoku WannaCry, je obtížné přimět uživatele, aby průběžně aktualizovali zabezpečení.

LeakerLocker

Jeden z nejnovějších velkých útoků, který zaplnil stránky novin, se vrací do dnů scareware a vydírání. Cílem LeaderLocker, zaměřeného na zařízení Android, bylo sdílet celý obsah mobilního zařízení uživatele s každým v seznamu kontaktů. Takže pokud byste měli v telefonu něco trapného nebo kompromitujícího, měli byste raději zaplatit nebo všichni vaši přátelé, kolegové a příbuzní by brzy mohli vidět, co ukrýváte pod pokličkou.

Jaká je budoucnost ransomware?

Vzhledem k exponenciálnímu růstu výnosů, které počítačoví kriminálníci získali z ransomwaru, se předpokládá, že o něm v budoucnosti uslyšíme mnohem více. Úspěch WannaCry kombinující samočinně se replikující technologie se zaměřením na známé zranitelnosti systému pravděpodobně vytvořil precedens pro povahu většiny útoků v krátkodobém horizontu. Bylo by však naivní myslet si, že vývojáři ransomwaru již neuvažují a nevyvíjejí nové způsoby, jak infikovat, šířit a zpeněžovat svůj malware.

Co tedy můžeme očekávat?

Jedním z největších problémů je potenciál ransomware začít cílit na digitální zařízení, jiné než počítače a chytré telefony. Stále více a více obecných zařízení, které používáme v každodenním životě, je digitalizováno a propojeno s internetem. To vytváří masivní nový trh pro kybernetické zločince, kteří se mohou rozhodnout použít ransomware k uzamčení automobilů nebo znemožnit funkčnost termostatu ústředního vytápění, pokud nebude zaplaceno výkupné. Tímto způsobem se bude schopnost ransomwaru přímo ovlivňovat náš každodenní život jen zvyšovat.

Další možností je, že ransomware se nebude zaměřovat na jednotlivá zařízení a jejich uživatele. Namísto cílení souborů uložených na jednom počítači by ransomware mohl účelně směřovat k použití SQL injekcí k šifrování databází, které jsou uloženy na síťovém serveru.  Výsledky by byly katastrofální – celá infrastruktura globálního podniku by mohla být poškozena v jednom kroku nebo celá internetová služba by mohla přestat fungovat, což by postihlo stovky tisíc uživatelů.

Jakkoli se to bude vyvíjet, měli bychom se připravit na to, že ransomware bude pro nadcházející roky velkou kybernetickou hrozbou. Buďte tak ve střehu, kterí e-maily otevíráte, které webové stránky navštěvujete a udržujte nejnovější bezpečnostní aktualizace, jinak se dříve nebo později budete moci přidat k seznamu dřívějších obětí ransomwaru.

Může VPN zabránit útokům ransomware?

Používání VPN vás nemůžete ochránit před útoky škodlivého softwaru, zvyšuje však úroveň zabezpečení vašeho systému a bezpečnost. Existuje mnoho výhod VPN.

  • Pokud používáte VPN, vaše IP adresa je skrytá a přístup k webu je anonymní. To ztěžuje tvůrcům malwaru cílit na váš počítač. Typicky hledají zranitelnější uživatele.
  • Pokud sdílíte nebo přistupujete k datům online pomocí VPN, jsou tato data šifrována a zůstávají z velké části mimo dosah tvůrců malwaru.
  • Spolehlivé služby VPN také umisťují na černou listinu pochybné adresy URL.

Díky těmto faktorům vás používání VPN udržuje v bezpečí před malware, včetně ransomware. Existuje mnoho VPN služeb, ze kterých si můžete vybrat. Ujistěte se, že poskytovatel VPN, se kterým se zaregistrujete, je seriózní a má potřebné odborné znalosti v oblasti bezpečnosti online.

Pokud hledáte VPN, podívejte se na nejvíce doporučené VPN sítě od důvěryhodných uživatelů.

Bylo to užitečné? Sdílejte to!
Sdílejte na Facebooku
0
Tweetujte
0
Sdílejte pokud si myslíte, Google o vás nemá dost informací
0